学前端网络安全这块还不懂?细说CSRF

最新推荐文章于 2022-06-13 08:58:10 发布
最新推荐文章于 2022-06-13 08:58:10 发布
阅读量338 收藏
点赞数
文章标签: 安全 安全漏洞 前端 渗透测试 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Internet_xx/article/details/118491149
版权

###什么是CSRF?
举个栗子,比如我们需要在某个博客上删除一个文章,攻击者首先在自己的域构造一个页面,使用了一个img标签,其地址指向了删除博客的链接。攻击者诱使目标用户,也就是博客主访问这个页面,该用户看到了一张无法显示的一张图片,这时候在回头看看该博客的这篇文章,发现文章已经被删除了,原来刚才的图片链接香博客服务器发送了一个get请求,而这次请求,导致了博客上的一边文章被删除了。在整个攻击过成功,攻击者仅仅诱使用户访问了一个页面,就以该用户身份的第三方站点里执行了一次操作。这个删除博客文章的请求都是攻击者所伪造的,所以这种攻击就叫做“跨站点请求伪造”。
908fa0ec08fa513dc5afee5d8defb2fdb3fbd9b2.jpg

###浏览器cookie策略
攻击者伪造的请求之所以能够被服务器验证通过,是因为用户的浏览器发送了cookie的缘故。浏览器所持有的cookie分为两种:一种是‘Session Cookie’,又称“临时Cookie”:另一种是“Third-party Cookie”,也称为“本地Cookie”。两者的区别在于,后者是服务器在Set-Cookie时制定了Expire实践,只有到了Expire时间后Cookie才会失效,所以这种Cookie才会失效,所以这种Cookie会保存在本地:而Session Cookie则没有制定Expire时间,所以浏览器关闭后,Session Cookie就失效了。

在浏览网站过成功如果一个网站设置了Session Cookie,那么在浏览器进程的生命周期内,即使浏览器新打

最低0.47元/天 解锁文章
Internet_xx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf token作用
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5820
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRF(token)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
关于获取csrf-token前端技巧思考
weixin_50464560的博客
08-17 2425
https://xz.aliyun.com/t/7084 前言 如果说一个产品RCE漏洞相对描述是“一语中的”、“一发入魂”的杀气,想必各大厂商在对杀气感知和处理上总是最快最灵敏的,从各大专有SRC对报告的反映速度、修复速度、挖掘难易程度来说,也很好的佐证了这一点。log里保存着任何服务器接收到的数据原文随时溯源当场处理爱憎分明、系统环境在被攻击时的奇怪变化一看便知,一个好的RCE确实是无敌的,至少在被受攻击者审计出来前,高效便捷准确有效。但它一旦被使用,变会在厂商眼皮下留
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1039
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
JAVA——token理解
书之岁华
09-30 1万+
Token(令牌)机制 防止因为后退或者刷新来重复提交表单内容的Token机制 Token,就是Token(令牌)机制,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 实现原理:一致性。 jsp生成表单时,在表单中插入一个隐藏字段,该字段就是保存在页面端的token字符串,同时把该字符串存入session中。等到用户提交表单时,会一并提交该隐藏的token字符串。在服务器端,查看下是...
前端安全:如何防止CSRF攻击?
02-24
在移动互联网时代,前端人员除了传统的XSS、CSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
网络安全零基础习路线-思维导图 v2023
09-28
如果你把每周要的内容精细化到这种程度,你还会担心不会,入不了门吗,其实说到底就是了两个月,但都是东一下,西一下,什么内容都是浅尝辄止 ,没有深入进去,所以才会有了2个月,入不了门这种感受。 ...
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解跨站请求伪造CSRF的基本概念; 了解跨站请求伪造CSRF的攻击原理; 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 跨站请求伪造(Cross-site ...
网络安全-网络安全数据管理及可视化平台的前端实现.zip
最新发布
04-03
在这个项目中,我们关注的是网络安全数据管理与可视化的前端实现,这通常是指通过用户界面展示网络安全状态,帮助管理员监控、理解和响应潜在的安全风险。 前端实现是构建任何Web应用的关键部分,对于网络安全数据...
Token 的作用和原理
原鑫的个人博客
11-08 5874
Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 一般的做法是请求接口的时候,获取最新的Token,然后在发送请求的时候,把Token传过去。一般是在全局的$ajax或者axios中封装 抵挡csrf攻击的方法 1)T...
什么是用户token(令牌)-- 转
YuqiRealm.com
07-05 1万+
在目前的互联网或者计算机网络技术中,经常会听到token或者“令牌”这个词。那有没有想过,token或者说令牌到底是什么东西,有什么作用,为什么token的中文翻译是“令牌”?其实这个问题也困扰了我很长的时间。长久以来我都是从token的形式上猜测他应该是类似密码一样的东西,只不过是服务器或者说网站帮你生成的临时密码。但密码这个东西总是伴随着帐号或者用户名一起的,离开了帐号,密码就没有了意义。按照这
Token作用和原理
热门推荐
八点半技术站
11-04 1万+
首先我们说一下,什么是token??? Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的场景下,Token便应运而生。 那么Token是服务端生成的一串字符串,也就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两...
Web安全——CSRF攻击和防御
mapbar_front的博客
06-15 934
什么是CSRF Cross site Request Forgy(跨站请求伪造) 主要是我们打开一个钓鱼网站,进去之后,这个钓鱼网站会得到你的信息,比如你的cookie的验证信息。它会在你不知情的情况下,做一些操作。 一般在一些社交、评论等地方,一定要注意CSRF攻击。千万不要随便进去一些钓鱼网站。 一般而言,你的接口是post的话,就相对get安全一点,因为如果是post方式,CSRF只...
前端安全CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6033
CSRF(Cross-site request forgery)简称:跨站请求伪造,CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的Cookie前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
随机生成token
design321的专栏
10-08 2967
转自:http://blog.csdn.net/jallin2001/article/details/5560053 function genToken( $len = 32, $md5 = true ) { # Seed random number generator # Only needed for PHP versio
token生成算法 java_生成随机token的一种方法
weixin_39937447的博客
02-16 1728
在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌)一种作用:通过对比客户端和服务器的token,来防止表单重复提交生成token的代码public class TokenProccessor {/**单例设计模式(保证类的对象在内存中只有一个)*1、把类的构造函数私有*2、自己创建一个类的对象*3、对外提供一个公共的方法,返回类的对象*/private TokenProccesso...
随机生成token值
0123456789
09-15 4770
摘要:用户登录成功时,系统返回生成一个随机token,保存数据库,保存一个过期时间,用户操作时,验证此token是否失效等!!直接上代码public class HelloWord { public static void main(String args[]) { String token = randomString(30); System.out.p
生成无重复随机token
chinoukin的博客
10-13 1364
public static void main(String[] args) { String token = System.currentTimeMillis() + new Random(999999999).nextInt() + ""; MessageDigest md = null; try { // 进行MD5加密
93道网络安全面试题目
07-20
网络安全面试题目 以下是根据给定文件信息所生成的知识点: **SQL注入攻击** SQL注入攻击是一种常见的网络攻击方式,攻击者通过在HTTP请求中注入恶意的SQL代码,使服务器将恶意SQL构造成数据库命令并执行。例如,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值